מפרטי חשבונות בנק ועד תוצאות פסיכומטרי: פרטיהם של אלפי סטודנטים הרשומים בעשרות מכללות ברחבי הארץ נגנבו ופורסמו בדארקנט ("הרשת האפלה") על ידי האקרים איראנים. על פי חוקר הסייבר שבודק את האירוע ועקב אחריו, ליאור בן דוד, מדובר באירוע מהחמורים שנתקל בהם. על פי הנתונים שפורסמו על ידי ההאקרים, הפרטים שנגנבו כוללים: מספרי ת"ז, פרטי חשבונות בנק, תוצאות פסיכומטרי, תעודות שחרור, מספרי טלפון, כתובות מייל, תאריכי לידה, תמונות פספורט ומסמכי ויתור על סודיות. מדובר על נתונים רגישים שבהצלבה יכולים לשמש להונאות הזדהות למשל או להשתלטות על חשבונות מדיה חברתית.
הפרצה שאפשרה את החדירה של ההאקרים האיראנים זוהתה במנגנון ההזדהות של פורטל "ראשים" המשמש את רוב המכללות בישראל. אפשר למצוא אותה למשל במכללת ספיר, במכללת קיי, במכללה לשוטרים בבית שמש ובעוד מוסדות לימוד רבים אחרים. על פי עדותו של בן דוד, הפרצה דווחה על ידיו כבר ביולי 2023 למערך הסייבר הלאומי. עם זאת ככל הנראה שמכללות רבות לא ביצעו עדכון גרסה בזמן מה שהביא לכך שההאקרים האיראנים ניצלו אותה לגניבת הנתונים.
הקבוצה האיראנית בינתיים פרסמה מקבץ של כ-120 גיגה-בייט מנתוני מכללת ספיר לטענתם. עם זאת לדבריהם בפרסומי הקבוצה בטלגרם הם גנבו מידע גם ממכללת סכנין, המכללה לשוטרים בבית שמש וכן פרסמו סרטונים והדגמות לפריצה למערכת של חברת ראשים עצמה; כולל סרטון ובו תיעוד של מנכ"ל החברה ומשפחתו באירוע כלשהו. מדובר באירוע מביך למדי שלא ברור למה לא טופל על רקע ההסלמה במצב הבטחוני והתגברות אירועי הסייבר העצומה שנצפתה לאחרונה. בפנייה של ynet לחברת מלם תים שמחזיקה בחברת "ראשים" התברר שהכשל היה במערכת ההזדהות של הפורטל.
לדברי מלם תים, המערכת עודכנה לפני שנתיים לגרסה שחסמה את הפרצה ששימשה במתקפה הנוכחית אך מכללות רבות לא עברו להשתמש במערכת ההזדהות המאובטחת. לא ברור על מי חלה האחריות להעביר את המשתמשים לגרסת המערכת המעודכנת, אך אין ספק שמדובר במחדל מצטבר שלא טופל בזמן בכל מקרה. מחברת מלם תים נמסר: "המדובר בפורטל מועמדים ישן ולא נתמך מזה כשנתיים. המעבר של כלל המכללות לפורטל חדש הושלם זה מכבר. תודה לליאור בן דוד על הצפת הנושא לפני כחצי שנה למערך הסייבר. הנושא טופל על ידי המכללות הרלבנטיות".
בתחילה ניסו במלם תים להתנער מהאירוע וטענו שהמערכת ששימשה לפריצה הייתה "מעל למערכת ראשים", אך בהמשך הודו שמדובר בגרסה ישנה של מערכת ההזדהות שלא עודכנה על ידי המכללות. בכל מקרה גם במערך הסייבר עקבו אחר האירועים, בימים אלה גדל מספר אירועי הסייבר בהיקף נרחב ונראה שגורמים עוינים רבים פועלים במקביל בחודש האחרון כדי לתקוף מטרות שונות ברשת הישראלית. חלק מהתקיפות התמקדו בגניבת (קצירת) נתונים, אחרות תקפו אתרים והשחיתו אותם, עוד נמסר על תקיפות של חברות IT שמספקות שירותי אחסון ומחשוב. בחלק מהמקרים התקיפות הצליחו וחלק לא.
קשה לומר עד כמה ההאקרים הצליחו לחדור עמוק לפורטלים של המכללות, אך לעצתו של בן דוד רצוי שסטודנטים יבדקו היטב את הפעילות בחשבונות הבנק שלהם ובמערכות בהם ניתן לבצע פעולות מרחוק תוך שימוש בנתוני הזדהות. כך למשל שילוב של ת"ז ונתונים נוספים מאפשרים להיכנס לחשבונות בנק, חברות ביטוח וקופות חולים. סטודנטים שפעילים בכוחות הביטחון צריכים להיות מודעים לאפשרויות שייעשה שימוש בנתונים שלהם על ידי גורמים עוינים. לפי דברי בן דוד, "בינתיים פורסמו כבר 4,000 תעודות זהות של סטודנטים ואת כל המיילים של המנכ״ל (של חברת ראשים) ויפרסמו (את הנתונים) של שאר המכללות בהמשך".